Вопрос: Как этот сайт может оповестить меня даже после удаления всей истории моего браузера и использования VPN?


Веб-сайт dropmail.me может успешно идентифицировать меня (и предлагать мои последние использованные временные почтовые адреса через. «Восстановить доступ»), несмотря на следующее:

  • Удалите всю историю моих браузеров, которая включает в себя кеш, куки, настройки сайта, историю загрузок, историю поиска, историю браузера и активные логины. В основном все, что можно удалить через меню Firefox. Я использую Firefox 52 ESR.
  • Используйте VPN (который согласно их утверждениям безопасен против IPv6 и утечки DNS), которые я не использовал, когда ранее посещал этот сайт.
  • Использование uBlock Origin и uMatrix

Дополнительная информация:

  • Моя «личность» должна каким-то образом привязываться к моему текущему профилю браузера. Когда я использую другой браузер или новый профиль браузера, веб-сайт не идентифицирует меня как одного и того же человека. На самом деле, достаточно использовать Firefox-аддон Priv8 и создать новый песочница быть идентифицированным как другое лицо. Это может указывать на то, что существует некоторая память для веб-сайтов, которые не могут быть доступны или удалены, хотя Firefox. (Это не Flash-файлы cookie, веб-сайт не использует Flash!)
  • (Обновление) Другие браузеры не затрагиваются. Microsoft Edge, после удаления истории браузера, не позволяет повторно идентифицировать. Это проблема только для Firefox!

Мои вопросы:

  • Как же они могут меня идентифицировать? Поскольку их единственная мотивация переопределить меня - предложить доступ к ранее используемым почтовым адресам, я не думаю, что они используют какие-либо «темные» методы, такие как снятие отпечатков пальцев, но, конечно, это нельзя исключать.
  • Как я могу защитить от такого «супер-отслеживания», используемого этим сайтом?

219
2017-09-16 15:33


Источник


Используйте режим инкогнито, когда вы посещаете. У Chrome и IE есть это, я уверен, что Firefox тоже. - Appleoddity
@Appleoddity: Да, режим инкогнито помогает, но, насколько я понимаю, это просто мешает веб-сайтам хранить или считывать историю браузера и т. Д. Поэтому, когда я удаляю все, это должно иметь такой же эффект, но это не так. Может быть, ошибка в Firefox? - manuel
Я сильно подозреваю зло, которое evercookie - Prime
@Prime, в этом случае это не так. Мануэль прав: «Поскольку их единственная мотивация переопределить меня - предложить доступ к ранее использованным почтовым адресам, я не думаю, что они используют какие-либо« темные »методы», и заглядывая в код, вы увидите, что они просто используют стандартные веб-технологии. В этом конкретном случае виноват Firefox. - Arjan
Даже очистка все по-прежнему не дактилоскопия - o11c


Ответы:


На веб-сайте используется IndexedDB, для которого MDN пишет:

IndexedDB - это способ постоянного хранения данных в браузере пользователя. Поскольку он позволяет создавать веб-приложения с богатыми возможностями запросов независимо от доступности сети, ваши приложения могут работать как в режиме онлайн, так и в автономном режиме.

Не очистка это звучит как ошибка в Firefox действительно, но, по-видимому, разработчики считают иначе. Как и в марте 2015 года, кто-то написал:

Но даже когда вы удаляете всю свою историю, данные из IndexedDB сохраняются.

Правильный способ удалить эти данные: about:permissions адрес, найдите домен и нажмите Forget About This Site кнопка.

В то время как about:permissions не работает в моем Firefox 55, перейдя в «Инструменты», «Информация о странице», «Разрешения». Я получаю кнопку «Очистить хранилище»:

Page Info dialog

Хуже того, ни серые «Использовать по умолчанию: всегда задавать» в приведенном выше захвате экрана, а также при включении «Расскажите, когда веб-сайт просит хранить данные для автономного использования» в настройках, Advanced, Network, есть все, чтобы избежать хранения:

Advanced settings

Кажется следующее с августа 2011 года может все еще применяться (где «[только]» добавлено мной):

По умолчанию в Firefox 4 сайт может использовать до 50 МБ хранилища IndexedDB. [Только] Если он пытается использовать более 50 МБ, Firefox будет запрашивать у пользователя разрешение [...]

В Firefox для мобильных устройств (Google Android и Nokia Maemo) Firefox будет [только] запрашивать разрешение, если сайт пытается использовать более 5 МБ [...]

Чтобы полностью отключить его, перейдите к about:config и отключить dom.indexedDB.enabled, Однако будьте осторожны, так как это может повлиять на плагины / надстройки, поэтому, по-видимому, некоторые хотят удалить этот параметр, для чего кто-то отметил в мае 2016 года:

До тех пор, пока IndexedDB не будет обрабатываться так же, как файлы cookie в отношении приема / очистки и поведения сторонних разработчиков, этот префикс должен существовать.

(Можно найти dom.storage.enabled интересно тоже ...)


251
2017-09-16 16:20



В самом деле. Вау. Это очень важно. У меня не было такой лазейки в браузере, которая «одержим защитой вашей конфиденциальности», - manuel
Отключение его даже ломает сайт, упомянутый ранее, и, возможно, другие веб-сайты тоже. Будем надеяться, что у Mozilla будет второй взгляд на это. Одним из решений может быть удаление этого хранилища после закрытия моего браузера, и только выбранный сайт, который, как я полагаю, может иметь постоянное хранилище. (так я обрабатываю файлы cookie в данный момент) - manuel
Смотрите также, bugzilla.mozilla.org/show_bug.cgi?id=1047098 - Bob
В немецких СМИ упоминается эта тема: heise.de/-3835084 - StanE
Всегда было глупо, что Mozilla относится к IndexedDB иначе, чем к файлам cookie. Это все еще наглое вид печенья. Протокол отличается, но ясно, что если я хочу заблокировать или удалить все файлы cookie, мне не нужен протокол. К сожалению, практика Mozilla всегда «добавляет функции в настоящее время, отбирает последствия конфиденциальности в будущем, если вообще когда-либо». @manuel Попробуйте пробраться через: config некоторое время. В Firefox действительно много страшных вещей, которые включены по умолчанию. Предполагаемая позиция конфиденциальности Mozilla - это чистый маркетинг, и не более того. - Boann


Как отметил Арьян к сожалению, легко оставить данные сайта, установленные в настоящее время. Это несколько улучшается с редизайном UX предпочтения в FF57.

Например, в разделе «Конфиденциальность и безопасность» теперь есть раздел «Данные сайта»:

Redesigned Privacy & Security menu in Firefox 57

Нажатие на «Настройки» данных сайта позволит вам удалить данные сайта для определенного источника:

Settings - Site Data

Это позволит удалить данные, хранящиеся в IDB, Cache API и т. Д. Он также удалит файлы cookie для источника:

Removing site data for a specific site

(Извините за то, что вы не оставили комментарий Ответ Аржана, но я хотел включить эти скриншоты.)

Отказ от ответственности: я сотрудник Mozilla


59
2017-09-17 03:36



Любая идея, если вы также планируете на самом деле предложить пользователю разрешение на хранение данных для начала, даже если это всего лишь один бит? (Я где-то читал, что для сторонних сайтов параметр «разрешить сторонние файлы cookie» также применим к IndexedDB, но я не тестировал это.) Настройка «Offline Web Content and User Data» довольно обманчива, Я чувствую, поскольку, по-видимому, это не относится к IndexedDB. - Arjan
Мой комментарий к его комментарию «не ядерное оружие для этого происхождения» был неправильным. Он действительно удаляет файлы cookie. Я обновлю ответ, чтобы отразить это. - Ben Kelly
Его сложный баланс между подсказкой, когда это необходимо, и слишком большим спросом. В настоящий момент хранение - это дизайн вокруг идеи, что сайты могут использовать хранилище без подсказки, но браузер может свободно удалять его под давлением. Если сайту требуется постоянное хранилище, ему нужна подсказка. Хранение API отключено в сторонних iframe, когда отключены сторонние файлы cookie. В будущем мы можем перейти к «двойному ключу» источника, основанного на начале окна верхнего уровня (например, сафари), который будет дополнительно изолировать хранилище. В FF это называется «изоляция первой партии» и происходит из проекта TOR. - Ben Kelly
@Ben Kelly: Он по-прежнему не охватывает вариант использования «разрешить каждому веб-сайту хранить все, чтобы поддерживать функциональность, но автоматически удалять хранилище при выходе браузера». Правильно? Частный просмотр не является хорошим решением, так как он ничего не держит (возможно, я все еще хочу сохранить историю браузера или хранилище для сайтов, которым я действительно доверяю. И нет, я не хочу постоянно переключаться между обычным и приватным просмотром .) - manuel
Вы правильно указали «удалить при выходе». Настройки cookie не применяются к таким вещам, как IDB. Я подал ошибку здесь bugzilla.mozilla.org/show_bug.cgi?id=1400678, Я считаю, что наши общие разрешения UX также перерабатываются, но я не уверен, что упомянутые здесь ограничения на хранение включены или нет. Я также указал на ошибку: bugzilla.mozilla.org/show_bug.cgi?id=1400679, Мы работаем над улучшением этих функций, но это постепенный процесс. Извините за проблемы. - Ben Kelly


Редактировать: Пожалуйста, прочитайте комментарий Бен Келли, прежде чем возиться с любыми файлами в своем профиле.


Поскольку в Firefox нет решения, можно легко реализовать временное исправление для этого вне Firefox. Файлы IndexedDB хранятся в каталоге <profile>/storage/default, Путем опорожнения этой папки (например, по расписанию) вы можете полностью контролировать свои данные и как долго они сохраняются. Поскольку каждый веб-сайт хранится в отдельной папке, вы даже можете реализовать белый список / черный список или в основном любую политику, которую вы хотите, учитывая, что у вас есть опыт программирования.

Это нехорошее решение и никаких оправданий для разработчиков Firefox продолжать откладывать правильное решение для этого. (Bugreports существует уже много лет!)

И имейте в виду, что формат данных и местоположение могут меняться со временем. Например, в предыдущей версии все данные IndexedDB хранились в одном файле SQL.


5
2017-09-17 12:32



Обратите внимание, что это может повредить ваш профиль для определенных сайтов. Некоторое состояние (например, регистрации сервисных работников) хранится вне этого каталога. Сайты могут запутаться, если хранилище удалено, но регистрация сервисного работника остается. Наш новый «Site Data» для удаления UX отправляется в ноябре и является лучшим решением. Или просто запустите в режиме частного просмотра, который отключает все хранилища. - Ben Kelly
@BenKelly «... хранятся вне этого каталога».  Что это значит? Где хранится? Как удалить эту часть? - John1024
Мы не поддерживаем произвольные изменения в каталоге профиля. Если вы начнете вручную удалять вещи, не удивляйтесь, если ваш профиль поврежден, а сайты работают неправильно. Я действительно не рекомендую. Некоторые из вопросов, поднятых по первому вопросу здесь, фиксируются по мере того, как мы говорим. Кроме того, в качестве непосредственных решений были упомянуты частные браузеры, контейнеры и т. Д. Не изменяйте свой профиль. - Ben Kelly